СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Новости
Артем
20 февраля
#Отчеты #Dev#ИБ

ReliaQuest: занимающаяся распространением программ-вымогателей группировка BlackLock сохраняет лидерские позиции в 2025 году

ReliaQuest: занимающаяся распространением программ-вымогателей группировка BlackLock сохраняет лидерские позиции в 2025 году

Эксперты в области кибербезопасности раскрыли подробности о стремительно набирающей силу группировке, распространяющей программы-вымогатели по модели RaaS (Ransomware-as-a-Service).

По данным ReliaQuest, эта организация, известная под названиями BlackLock, El Dorado или Eldorado, начала свою деятельность в марте 2024 года и за последние месяцы продемонстрировала резкий рост числа утечек данных. В четвёртом квартале прошлого года количество подобных инцидентов увеличилось на 1425%.

Аналитики ReliaQuest считают, что в 2025 году BlackLock может стать наиболее активной группировкой в сфере RaaS.

Подобно многим другим угрозам, эта структура применяет стратегию двойного вымогательства, нацеливаясь на инфраструктуры, использующие Windows, VMWare ESXi и Linux. В то же время у неё есть несколько уникальных особенностей.

Во-первых, в отличие от ряда других атакующих групп, BlackLock применяет собственное вредоносное ПО, а не адаптированные версии известных образцов Babuk или LockBit. Это усложняет процесс анализа вредоносного кода для специалистов по кибербезопасности.

Во-вторых, группа использует дополнительные механизмы защиты на своих ресурсах, препятствующие исследователям и компаниям загружать похищенные данные. В их числе — выявление подозрительных запросов и выдача ложных файлов, что делает оценку масштабов утечек сложной задачей. Если пострадавшие не могут точно определить степень ущерба, они оказываются под большим давлением и с большей вероятностью соглашаются выплатить выкуп, пояснили в ReliaQuest.

Ещё одна особенность BlackLock — высокая активность на форуме RAMP. По данным на январь 2025 года, количество сообщений от участников этой группировки превышало аналогичный показатель ближайшего конкурента, RansomHub, в девять раз. Это свидетельствует о тесном взаимодействии BlackLock с филиалами, разработчиками вредоносного ПО и брокерами первоначального доступа.

Известно, что группа сотрудничает с проверенными брокерами, что позволяет ускорять атаки, однако этот же фактор создаёт угрозу для некоторых партнёров BlackLock.

Аналитики ReliaQuest также выяснили, что, в отличие от большинства группировок RaaS, которые передают начальные этапы атак на аутсорсинг, BlackLock предпочитает сохранять полный контроль. Подобная стратегия могла стать одной из причин стремительного роста её влияния.

Кроме того, BlackLock активно привлекает так называемых торговцев, которые занимаются распространением вредоносного трафика, направляют жертв на заражённые ресурсы и обеспечивают первоначальный доступ для атак. В объявлениях о наборе этих специалистов чётко обозначены требования, что говорит о высокой скорости рекрутинга, при этом зачастую безопасность операций отходит на второй план, подчеркнули в ReliaQuest.

Полный отчёт доступен по ссылке.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: